Surprise, Apple n’a pas attendu les nouvelles moutures majeures qui arriveront dans les semaines qui viennent pour boucher deux brèches, dont une utilisée par le logiciel espion Pegasus.
Estampillée CVE-2021-30860 et présente dans Coregraphics, elle peut permettre une exécution de code arbitraire à distance par l’ouverture d’un document PDF spécialement conçu.
Cette vulnérabilité est considérée comme particulièrement dangereuse. Son exploitation ne réclame en effet aucune interaction de l’utilisateur (zero click). Elle a été repérée le mois dernier et baptisée FORCEDENTRY par les chercheurs de Citizen Lab. Selon eux, elle est activement exploitée depuis février au moins.
La société de sécurité donne en exemple le cas d’un iPhone appartenant à un activiste saoudien, avec une infection par Pegasus confirmée. L’arrivée du logiciel espion était passée par un fichier gif cachant un PDF, lequel contenait le code d’exploitation. Il suffisait que ledit gif s’affiche dans iMessage, vecteur d’exploitation.
Apple continue en parallèle de répéter que ces « attaques sont hautement sophistiquées, elles coûtent des millions de dollars à développer, ont souvent une durée de vie courte et sont utilisées pour cibler des individus spécifiques ».
La société ajoute : « nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ». De fait, iOS 15 doit apporter des sécurités supplémentaires contre ce type de faille dans iMessage, puisque le mécanisme introduit dans iOS 14 (BlastDoor) ne suffit pas.
L’autre faille (CVE-2021-30858) est toute aussi sérieuse, puisqu’elle permet une exécution de code arbitraire en visitant une page web spécialement conçue. Apple indique avoir été notifiée d’une possible exploitation. La mise à jour des systèmes est donc chaudement recommandée.
Commentaires (15)
#1
Un fichier Gif contenant un pdf contenant le code.
C’est pas Pegasus c’est Poupérus.
#1.1
Joli :)
#2
« Apple continue en parallèle de répéter que ces “attaques sont hautement sophistiquées, elles coûtent des millions de dollars à développer, ont souvent une durée de vie courte et sont utilisées pour cibler des individus spécifiques” »
Ah bah tout va bien alors, super top haha ! 👍
#2.1
Le souci est qu’Apple a fait croire pendant longtemps que ses OS étaient virus proof et impénétrables.
Concernant les failles exploitées par Pegasus, ils n’ont pas tort vu le prix du produit.
#3
Les stratégies de communication d’Apple sont toujours… inattendues.
Oui y a des failles sérieuses.
Oui elles sont exploitées.
Mais bon, elles sont très sophistiquées vous voyez.
Alors elle ne seront surement pas utilisées sur votre iPhone de bouseux.
Elles sont réservées à pour une élite de gens qui comptent.
Pas pour vous.
Alors dormez tranquille.
#4
C’est peut-être inattendu, mais c’est juste la vérité. A moins que tu préfères qu’on te serve une soupe marketing pour justifier le fait que ton téléphone ne sera pas patché.
Et en attendant, les bouseux, pour reprendre tes termes, qui ont un iPhone 6s et plus récent ont reçu la mise à jour de sécurité de leur smartphone pour patcher cette faille. Pour te situer, on entre demain dans la 7ème année de support de l’iPhone 6s, et qui va recevoir iOS 15 d’ici peu.
A titre de comparaison:
Pixel 1: 08/2016 => 12⁄2019
iPhone 6s: 09/2015 => 09/2022 (voire plus)
Avec une durée de vie minable de 3 ans dans le meilleur des cas dans l’hypothèse où le smartphone est acheté plein pot day 1, c’est finalement plutôt malin et économique de prendre un iPhone de bouseux si tu tiens un minimum à la sécurité de ton smartphone et de ce que tu mets dedans sans te ruiner.
#4.1
Apple pouvait juste dire que la faille était dorénavant patchée et… c’est tout.
Cette déclaration qui sous-entend que la faille ne concerne que les cibles prioritaires des professionnels de l’espionnage… ca fait tellement film de Hollywood.
#5
Bah non, ca permet aussi de rassurer les gens en précisant que cette faille a été utilisé pour cibler des personnes spécifiques. Donc monsieur ou madame tout-le-monde, aucune inquiétude.
#5.1
C’est juste minable comme justification.
Basta!
#6
Pourquoi à chaque actu concernant Apple, il faut toujours quelqu’un pour parler d’Android? (et inversement, comme pour MS/GNU Linux).
Dormez, braves gens !
Quel que soit l’éditeur, c’est simplement son job de corriger. De TOUT corriger. OSEF qu’aujourd’hui on n’a pas détecté d’autres utilisations de cette faille, si elle est présente et exploitable, la seule question est quand sera-t-elle exploitée par quelqu’un d’autre qui ciblerait le téléphone de Mme Michu.
#7
En quoi ce que dit Apple est une justification? C’est un complément d’information au fait qu’ils aient corrigé deux failles de sécu indiquant qu’il est hautement improbable que monsieur ou madame tout-le-monde ai été impacté.
“Un astéroïde se dirige vers la Terre”, c’est pas pareil que “Un astéroïde se dirige vers la Terre, mais passera à 10000km de nous”
Pour donner des informations de comparaison sur un point précis qui semble important. C’est à ça que servent les commentaires non?
Tout à fait, et c’est la que j’apporte de l’information comme quoi l’éditeur Apple corrige pendant 7 ans, là ou Google ne le fait que pendant 3 ans.
Bah la réponse, c’est jamais puisque corrigé. En faite, tu n’as même pas lu la première phrase de la news. Comme je suis sympa, je te la remet ici:
Surprise, Apple n’a pas attendu les nouvelles moutures majeures qui arriveront dans les semaines qui viennent pour boucher deux brèches, dont une utilisée par le logiciel espion Pegasus.
#8
Bof…
Bof, encore.
Un Pixel c’est moitié moins cher qu’un iPhone, donc en terme d’années de maintenance pour le prix, c’est kif-kif. Sans compter ce qu’aura coûté la maintenance matérielle d’un iPhone durant ces 7 ans. Toute considération “écolo” à part.
Non, c’est juste du troll à 2 balles. D’autant que Google dit “au moins 3 ans”, pas 3 ans point barre.
Et pourtant tu dis “ca permet aussi de rassurer les gens en précisant que cette faille a été utilisé pour cibler des personnes spécifiques”. La faille a peut-être été exploitée autrement, contre Mme Michu, tu n’en sais rien.
Et tu n’as pas relevé le “Surprise”…
Perso, ces guéguerres de fanboys que tu alimentes, ça me fatigue. Si tu as lu les commentaires sur un autre news, je commence à envisager de changer de crèmerie. Du simple pragmatisme.
#8.1
Donc quand on trouve qu’Apple fait qqch de bien, on est tout de suite un fanboy ? c’est fatiguant à la fin… J’ai un iPhone perso et un Android pro, que j’utilise au quotidien. La news ici parle de faille de sécu, et de façon tout à fait factuelle, iOS est très, mais alors très très loin devant Android en ce qui concerne le patching.
Et pour info, j’ai pris le pixel en exemple car c’est l’un des mieux loti en terme de longévité de mise à jour et de “time to market” des patch pour ne pas qu’on me reproche de prendre un mauvais téléphone. Mais je te laisse voir dans l’écrasante majorité des autres intégrateurs d’Android, la tendance est plutôt à 1, voire 2 ans maxi, avec des patchs de sécu qui sortent trimestriellement, coucou Samsung Galaxy S.
Quand au 7 ans vs 3 ans, ca permet surtout de pouvoir acheter un iPhone d’ancienne génération moins cher, tout en ayant du support. Si tu prends un Pixel 4 aujourd’hui, tu sais déjà qu’il ne te reste même pas 2 ans de support… contrairement à un iPhone 11 par exemple.
Et pour revenir sur le fanboyisme, tu remarqueras que je ne t’ai pas étiqueté fanboy Google, donc ne étiquette pas fanboy Apple stp. il y a encore 2 semaines, et tu pourras le lire dans mon historique de commentaires, je pestais contre Apple sur le scan des photos, avec en tête l’idée de retourner sur Android pour mon tel perso, quitte à devoir le changer plus souvent.
#9
Quand tu ramènes systématiquement à des comparaisons qui n’ont pas de sens, oui.
#10
Systématiquement? Tu m’excuseras, mais quand je réponds à un commentaire qui parle, je cite: “iPhone de bouseux”, j’ai peut-être fait un raccourci, mais y a quand même de grande chance que l’OS pour les “non bouseux” soit Android. Donc je me permets de remettre quelques vérités sur le tapie afin de, peut-être, expliquer pourquoi les bouseux comme moi ont un iPhone perso.
Maintenant, iPhone est loin d’être parfait, la politique Apple pue la merde, store fermé, pas de side loading, idée avorté de scan des photos pédophiles, etc…